Tips för konfigurering av arbetsstationer / laptops

  • Stäng (i bios) av annat än hårddisk-boot så att man inte helt enkelt kan starta datorn från diskett/cd/usb

  • Stäng i bios av, alternativt plugga portar som ej används. Specifikt gäller detta firewire som kan använda till att läsa datorns minne utanför operativsystemets kontroll.

  • Använd skärmsläckare med lösenord (el.dyl) som låser skärmen om du skulle lämna datorn på tillfälligt.

  • Sätt lösenord i bios. Detta är dock inte helt idiotsäkert: cmos-reset kan nollställa pw. Vissa bios har (i alla fall haft) 'bakdörrslösen', d.v.s. standardlösenord för tillverkaren.

  • Sätt hårddisklösenord: (s)ATA specifikationen definierar två 32-teckens lösenord, 'user' och 'master' samt två säkerhetsmoder: 'high' och 'maximum'.

    • High: antingen user- eller master-pw kan nyttjas för att låsa upp disken.

    • Maximum: user-pw krävs för att låsa upp disken. Master-pw kan bara nyttjas för att radera den (security erase).

    Dock: detta är inte alls vattentätt mot en resursstark angripare, som exvis kan nolla lösenordet på hårddisken. Parantes: ATA security finns numera även på diskar för stationära datorer. Detta kan leda till en säkerhetsrisk: Vissa bios går ej 'security freeze lock' innan de lämnar över kontrollen till operativsystemet vilket gör att en angripare kan kryptera hårddisken och sedan exvis kräva en lösensumma för att öppna. Kolla att bios gör 'security freeze lock'! Läs mer: http://www.serialata.org http://www.t13.org

  • Inga konton utan lösenord!

  • Använd krypterade filsystem för att skydda mot en resursstarkare angripare. De flesta OS har möjligheter till detta. Läs om detta i avsnittet disk- och filkryptering.

    • Exvis swapfiler och tempfilsystem är en risk då de kan innehålla läsbar text. Använd krypterad swap etc.

    • Krypteringsnyckeln ska på något sätt ska lagras i minnet så länge man har fil/filsystem öppet, om man då 'suspenderar' maskinen så finns risk att kryptonyckeln hamnar på disken och eventuellt kan återvinnas av en angripare. Stäng av/avmontera kryptofiler/system innan du gör suspend!

  • Stäng alltid av datorn då du inte har uppsikt över den om den är osäkert placerad. På en suspenderad dator som stjäls kan lösenord etc ev extraheras ur minnet.

  • Stöldmärk datorn! Dels kan detta öka chansen att få igen den om den kommer på avvägar, dels kan det ev minska risken för stöld.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt